SIEM ou MDR ? CYBERSÉCURITÉ
Il y a beaucoup de confusion entre le MDR (Managed Detection and Response) et le SIEM (Security Information and Event Management)
Alors que le MDR est plutôt un outil automatisé de détection des menaces les plus probables de survenir, le SIEM quant à lui vise plus large afin d’intercepter tout incident potentiel pouvant mettre une organisation à risque, et ce, autant de l’interne que de l’externe. Il collecte les journaux de tous les dispositifs présents sur le réseau et effectue des corrélations afin
SIEM
Approche globale permettant d’identifier tout incident potentiel.
Cueillette d'informations globale à des fins d'analyse d'éventuels incidents grâce à une vision plus large. Par exemple, la détection d'utilisation de services non autorisés et/ou anormaux tels que les copies de sauvegardes.
Savoir qui fait quoi et quand (et a accès à quoi). Ex. : Un employé qui a accès aux dossiers de paie ou qui exporte des données clients (Desjardins).
Détecte les changements humains de configuration/ sécurité, que ce soit dans le Cloud ou local (modification des groupes de sécurité, ajout de nouveaux équipements, etc.)
Détection des mauvaises pratiques (comptes modifiés sans autorisation, erreurs techniques, interventions sur le réseau par les administrateurs sans justification).
Possibilité d’investiguer manuellement dans les journaux afin d’intervenir et/ou de sortir des rapports entièrement personnalisables pouvant être utilisés à des fins légales.
Surveillance gérée par une équipe de professionnels connaissant bien le réseau pour détecter les anomalies et anticiper d'éventuelles attaques. Possibilité de juger du niveau de criticité et d'insister pour la résolution de l'incident.
Travail à temps plein par plusieurs ressources.
Proximité
Tactique Transparence
d’identifier les tentatives d’attaques. En somme, le SIEM est beaucoup plus complet qu’un MDR dont l’action est limitée. Toute entreprise se spécialisant en cybersécurité aura tout avantage à travailler avec un SIEM si elle veut protéger adéquatement ses clients des attaques. Voici un tableau comparatif permettant de mieux différencier les deux services. Tout est une question de culture d’entreprise et de gestion de risques.
MDR
Approche ciblée sur les menaces les plus probables.
Identification des journaux significatifs uniquement vision plus restreinte des cybermenaces mettant à risque votre entreprise : plusieurs données ne sont pas captées par le MDR, comme une erreur de configuration qui peut présenter une grande vulnérabilité pour votre réseau et ses données).
Cueillette d’informations à des fins d’intervention sur les événements significatifs seulement.
Cueillette d’informations à des fins d’intervention sur les événements significatifs seulement.
Cueillette d’informations à des fins d’intervention sur les événements significatifs seulement.
Possibilité d’intervenir uniquement sur les événement suspects détectés.
veillance déléguée à de l’intelligence artificielle et des analystes ''génériques'' (outil automatisé, une intervention humaine se fait uniquement lorsqu’une menace est détectée).
Travail à la demande.
(418) 872-4744
ars-solutions.ca
6655, boulevard Pierre-Bertrand, bureau 301 Québec (Québec) G2K 1M1